Como verificar a resposta do usuário

Esta página explica como verificar a resposta de um usuário a um desafio reCAPTCHA do back-end.

Para usuários da Web, é possível conseguir o token de resposta do usuário de uma destas três maneiras:

• Parâmetro POST g-recaptcha-response quando o usuário envia o formulário no site
• grecaptcha.getResponse(opt_widget_id) após a conclusão do usuário o desafio reCAPTCHA
• Como um argumento de string para sua função de callback, se data-callback for especificado no atributo de tag g-recaptcha ou no parâmetro de callback no método grecaptcha.render.

Para usuários da biblioteca Android, você pode chamar o método SafetyNetApi.RecaptchaTokenResult.getTokenResult() para obter o token de resposta se o status retornar bem-sucedido.

Restrições de token

Cada token de resposta do usuário reCAPTCHA é válido por dois minutos e só pode ser verificado uma vez para evitar ataques de repetição. Se você precisar de um novo token, execute novamente a verificação reCAPTCHA.

Depois de receber o token de resposta, você precisa verificá-lo em dois minutos com o reCAPTCHA usando o a seguir para garantir que o token é válido.

Solicitação de API

URL: https://www.google.com/recaptcha/api/siteverify

MÉTODO: POST

Resposta da API

A resposta é um objeto JSON:

{
  "success": true|false,
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Para o reCAPTCHA para Android:

{
  "success": true|false,
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "apk_package_name": string, // the package name of the app where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Referência do código de erro